PunkSPIDER是一款由PunkSCAN出品的大型WEB漏洞扫描器,我们利用它已经建立了一个稳定的扫描体系,每日可以实现无人值守式的运行。此外,其中运行了一个Apache Hadoop集群,每天能处理的扫描任务数以万计。
PunkSPIDER的特性
该扫描服务会在网上随机爬行,寻找可能存在漏洞的WEB应用,发起一些诸如SQL盲注、传统SQL注入,以及XSS等攻击。游客可以通过PunkSPIDER搜索一个URL或者一个关键词,得到相关网站的结果。同时,它采用了如Apache Hadoop等大数据级别的高端技术,但幸运的是这些都是开源的。
PunkSPIDER项目的设计思想是,站长可以通过搜索自己的网站来验证其是否做好了基本的安全措施,这个结果可能会激励用户优化自身的安全措施。当然,如果是那些不怀好意的人使用了PunkSPIDER,可能会让无辜的网站受到的威胁更大。这时候,站长可以选择通过修改robots.txt,或者优化防火墙和路由的IP规则,退出该扫描器的监控。
Youtube视频:https://www.youtube.com/watch?v=BEYqnOgIsSQ
PunkSPIDER的优势
市面上的工具有不少都能够执行有限数量的扫描,但却不是很稳定,甚至会陷入崩溃和无限循环。而PunkSPIDER建立了一个非常稳定且可扩展的扫描框架体系,每天能够无人值守地自动运行,几乎能够将扫描任务无限地运行下去。
PunkSPIDER还有不少潜在特质,其中一个就是帮助需要安全检测的组织梳理自身的公开资产。毕竟,并不是每个组织都能让安全团队给自己定期进行常规检测的。使用了PunkSPIDER之后,组织只需要在搜索框简单地输入URL,就能知道自己是否有重要的漏洞需要修复。
此外,我们认为公众也应该去了解使用它。毕竟黑客可以访问的信息,公众自己更应该了解。同时,公众通过它还可以知道,是否自己信用卡信息和其他敏感数据已经处于不安全的境地。
这里给出PunkSPIDER项目的下载地址,猛戳这里。